국가보훈처는 국가보훈대상자의 예우 및 지원 보훈 정책을 추진하는 과정에서 개인정보보호를 위해 계속해서 규정과 정책을 개선해 나가고 있으며, 내부관리계획을 수립·시행하고 있습니다. 내부관리계획을 개정하여 개인정보처리시스템의 이행실태를 월 1회 점검하고 있으며, 개인정보의 수집을 최소화하기 위해 사업부서에서 사용 중인 개인정보 수집·제공 동의서 서식은 꼭 필요한 최소한의 개인정보만 수집하는지 검토하고 명확한 동의절차를 이행하여 재정비했습니다. 또한, 침해사고 대응절차 및 권리구제 절차, 개인정보 목적 외 이용·제3자 제공 절차서 개정 등 개인정보보호를 위한 관리적 제도 개선 활동을 수행했습니다.
나. 개인정보보호 관리체계 및 개인정보처리시스템 운영체계 강화
국가보훈처는 자체 사전 점검표를 활용하여 본부·소속기관·산하기관에 대해 총 3회 개인정보보호 관리실태 지도점검을 실시했습니다. 자체 내부관리계획과 개정사항 반영 여부, 개인정보의 기술적 보호 조치 준수, 개인정보파일의 관리절차 및 수집·활용의 적합성 여부를 검토했으며, 우수 사항 및 미흡 사항을 선정하고 관련 사항에 대한 담당자 교육을 실시해 각 기관의 실제 개인정보보호 업무 활동과 연계되도록 했습니다.
또한, 제대군인 전직지원시스템 개선 사업 추진 과정에서 개인정보 영향평가를 실시하여 개인정보보호 관리체계를 점검 및 개선하였으며, 안전성 확보를 강화하기 위해 포상심사관리시스템에 개인정보 접속기록관리솔루션을 설치하여 기술적 보호 수준을 제고했습니다. 아울러 통합보훈정보시스템의 고도화 사업을 통해 안전한 개인정보처리시스템 운영 기반을 갖추었습니다.
(2) 인사혁신처
가. 상시적 개인정보처리시스템 취약점 진단 체계 마련
인사혁신처는 운영 중인 32개 전체 시스템에 대해 체크리스트 기반의 연중 상시 취약점 진단 및 모의 침투훈련을 실시했습니다. 진단 대상은 인터넷망을 통해 서비스되는 18개 시스템과 14개 내부 업무시스템으로 총 132개의 취약점을 찾아 조치하는 등 적극적인 예방 활동을 통해 개인정보처리시스템 취약점을 악용한 정보 침해사고를 철저히 예방하고 있습니다.
나. 산하기관 개인정보보호 수준 제고를 위한 상호 협력 강화
2019년 1월부터 5월까지 소속기관과 산하기관을 방문해 개인정보보호 조치 강화를 위한 컨설팅을 실시했습니다. 아울러 5월에는 정형 개인정보에 비해 보호가 취약한 비정형 개인정보처리자인 영상정보처리기기 운영자를 대상으로 개인정보보호 컨설팅을 실시해 담당자의 전문성 향상을 위해 노력했습니다.
(3) 법제처
가. 동의권 행사를 위한 정책 개발
법제처는 '개인정보파일 정비 계획에' 따라 업무별 최소한의 개인정보 수집·이용·제공 및 정보제공 동의 내용에 대해 정보주체가 명확히 확인할 수 있도록 동의절차 이행사항을 점검하고 현행화를 통해 개인정보 주체의 자발적인 동의권 행사 기반 마련과 권리 보장을 위해 노력했습니다. 또한, 내부관리계획, 침해사고 대응 절차 등을 개정 및 보완하여 내부 개인정보보호담당자 등에게 배포하고 그 이행 여부를 지속적으로 점검했으며, 개인정보의 안전한 관리를 위한 기반을 조성했습니다.
나. 기술 지원체계 강화·
기관 내 구축·운영 중인 개인정보처리시스템에 대한 정기적인 점검과 개선 조치, 상시 모니터링을 통해 개인정보처리시스템의 안전한 이용 및 관리를 위해 노력했습니다. 법제처 내 전체 업무용 컴퓨터, 보조저장매체 등에 대한 보안점검 및 보호 조치를 통해 개인정보보호 실태를 정기 점검하고 기관 보안솔루션의 정책 적용으로 침해사고 방지 체계를 구축하여 개인정보 유·노출 방지 기능을 강화했습니다.
다. 개인정보보호 관리자, 담당자, 취급자의 역량 강화
법제처는 매년 개인정보보호 인식 제고를 위한 교육 계획을 수립하고 있습니다. CPO가 워크숍에 참석하여 교육을 이수하고, 개인정보 담당자가 전문 교육에 참석하는 등 개인정보보호 담당인력의 전문역량 강화를 위해 노력하고 있습니다. 또한, 전문교육 및 온라인 교육의 필수 이수와 개인정보의 위탁 관리·운영을 위해 위탁사업자의 교육을 수행했습니다. 그리고 전 직원 대상 자체 정기 특강을 통해 안전한 개인정보보호를 위한 홍보 및 교육을 실시했습니다.
(4) 식약처
가. 개인정보보호 정책 및 제도 개선
식약처는 최신 법령 및 행정안전부 고시에 맞춰 개인정보보호 내부규정을 2019년 2월 개정했습니다. 그리고 운영상 나타난 미비점을 개선·보완하기 위해 개인정보 처리방침, 개인정보처리시스템 재해·재난 위기대응 메뉴얼, 개인정보처리시스템 접근권한 관리방안을 개정하고 사이버 침해 대응체계 점검 및 모의 대응훈련을 실시했습니다.
나. 개인정보보호시스템 운영체계 강화
식약처는 내부관리계획에 따라 개인정보의 기술적·관리적 안전조치 이행실태를 점검하고 고유식별정보 처리 시 암호화하도록 조치했습니다. 또한, 개인정보보호시스템의 접근권한 관리 및 해당 기록의 3년 이상 보관 여부와 접속기록 6개월 보관·관리 여부를 점검하고 수행 업무 기록 및 접근권한 부여기록 등을 보완하였습니다, 정보파일 일제정비를 실시하여 보유하고 있는 개인정보파일에 대한 지속 운용 필요성·등록항목의 적정성 등을 검토하고 행안부 '개인정보보호 종합지원시스템'에 신규 파일을 등록했으며, 변경 사항은 현행화를 실시했습니다. 또한, 불필요한 개인정보파일을 삭제 및 암호화 등 보안 조치를 실시했으며, 정보주체의 권리 보장을 위해 개인정보파일에 대한 개인정보 수집 및 이용에 따른 동의절차의 적정성 여부를 점검했습니다. 현재 소관 업무 수행을 위해 필요한 최소한의 개인정보를 수집·이용하고 있으며, 개인정보 수집·이용 시 정보주체의 동의절차를 준수하고 있음을 확인할 수 있습니다.
식약처는 '식의약품안전 사이버안전센터'를 운영하여 본부, 소속기관, 6개 유관기관에 대해 모니터링을 하고 있습니다. 대국민 웹사이트의 개인정보 노출 진단을 실시하고 개인정보 필터링 솔루션을 상시 운영하고 있으며, 개인정보 침해 예방 활동을 강화하고 있습니다.
2. 내 정보 유출한 기업, 과징금 258원?
최근 5년간 유출된 우리나라 개인정보가 공공·민간·온라인 부문에서 6,414만 건에 달했으며, 이에 대한 솜방망이 처벌이 이뤄졌다는 분석이 나왔다고 합니다.😐
이 중 행정처분이 확정된 253회, 5,087만건에 대해 약 131억원의 과징금이 부과되었다고 합니다. 이것은 건당 평균 과징금이 258원 정도의 수준이라고 하네요😶
개인정보 유출 현황
그리고 건당 평균 과징금이 100원 미만인 경우도 25건 존재 했으며, 전체 개인정보 유출 건수의 21%를 차지하는데 반해 부과된 과징금은 3억 3,510만원이라고 합니다.
놀라운 것은 개인정보 2,269,000건이 유출된 것에 대해 건당 편균 과징금이 5.7원만 부과된 사례도 있다고 합니다.
개인정보 유출 사고는 지난 2017년부터 증가하고 있으며 2017년에 비해 2019년도에는 3배 이상 증가했다고 합니다. 또한 올해는 지난달까지 994만건의 개인정보가 유출되었다고 합니다.😥
실제 우리나라 개인정보보호법 상 과징금은 위반 행위와 관련 매출액의 3%에 불과한 점을 보면서 전문가들이 솜방망이 처분이며 개인정보 유출이 지속되는 주요 원인이라고도 지적했다고 합니다.😀
특히, 유럽은 GDPR을 통해 심각한 법 위반 시 전세계 연간 매출액의 4%에 해당하는 과징금을 부과하고 있으며, 이에 따라 영국은 약 50만명의 개인정보를 유출한 영국항공에 과징금 2,744억원을 부과한 사례가 있다고 합니다.😁
3. 파이브 아이즈, 암호화 기술에 대한 백도어 요구
파이브 아이즈(Five Eyes)라고 불리는 동맹 국가인 미국, 영국, 호주, 캐나다, 뉴질랜드가 "암호화 된 메신저 앱이 테러리스트들과 아동 납치범들의 활동을 돕는다"는 내용의 성명문을 발표했으며, 이에 일본과 인도도 합세했다고 합니다.😀
왓츠앱, 시그널, 페이스북 메신저 등 여러 앱이 지적되었으며, 이는 메시지의 발신자와 수신자 외에는 그 누구도 메시지를 볼 수 없는 방식으로 운영된다고 합니다. 또한 개발사 자신들 조차도 내용을 볼 수 없기 때문에 사법 기관에서 수사를 목적으로 정보를 요청해도 제공할 수가 없다고 합니다.🙄
이 국가들은 "사용자들의 프라이버시를 보호하는 게 중요한 일이며, 그것을 위해 암호화 기술을 활용하고 있다는 것을 충분히 이해하고 있다. 프라이버시가 중요한만큼 공공의 안전도 중요한 일이며, 그 균형성을 유지하는데 힘을 써야함도 잊지 말아야 한다. 페이스북과 같은 주요 개발사가 긴급 상황을 위한 백도어를 갖추어야 한다"라고 얘기했다고 합니다.
세계 곳곳의 정부 기관 및 수사 기관들은 암호화 기술에 백도어를 지속적으로 요청해 왔지만 이는 프라이버시 침해라며 계속해서 저항해왔다고 합니다. 이와 같은 문제로 FBI와 애플이 법정에서 부딪혔는데, FBI가 최종 판결 전에 아이폰 해킹에 성공함으로써 사건이 종결된 사례가 있다고 합니다.😁
최근 유럽연합 또한 암호화 기술에 대한 백도어가 필요하다는 사실을 피력하기 시작했으며, 전자프런티어재단(EFF)이 입수한 문건에 의하면 유럽연합 지도부에서 "암호화 기술을 둘러 싼 공론의 장에 적극 개입하여 프라이버시 쪽으로 쏠려 있는 여론의 균형을 맞추라"는 메모가 돌아다닌다고 합니다.😀
특히, 텔레그램 같은 경우는 현재 다크웹을 대체할 정도로 범죄자들의 인기 높은 통신 수단이 되고 있으며, 다른 암호화 앱들도 범죄자들의 소굴로 변모하는 중이라고 합니다.💢
이번 파이브 아이즈와 일본, 인도의 백도어 촉구 성명은 법적 효력이 존재하지 않으며, IT기업은 늘 그랬듯 이를 간단히 무시할 가능성이 높을 것이라고 합니다. 하지만 이들이 완전히 보안을 무시하는 것은 아니며, 각기 다른 방법으로 방어책을 마련하고 있다고 하네요.😀
새로운 P2P 봇넷이 발견되었습니다. 이는 IoT 장비들의 텔넷 서비스를 장학하며 이름은 HEH라고 합니다. 기존 IoT 봇넷이 장비 자체에 큰 영향을 미치지 않았지만 이번 HEH은 장비 내 모든 데이터를 완전히 삭제하는 기능을 가지고 있다고 합니다😒
HEH는 서버, 라우터 등 여러 IoT 장비에 Brute force Attack을 실시한다고 합니다. 특히 포트 23번과 2323번이 인터넷에 노출된 장비들이 주요 공략 대상이라고 합니다. 멀웨어 자체는 GO 언어로 작성되었으며, 감염된 장비들은 사유 프로토콜을 통해 이뤄진다고 하네요.
HEH는 총 3개의 요소로 P2P 모듈, 증식을 위한 모듈, 로컬 HTTP 서비스로 이루어져 있다고 합니다.😊
HEH는 다음과 같은 진행으로 이루어진다고 합니다👀
장비 감염 후 진행되는 다수의 서비스들 종료
HTTP 서버 시작 (세계 인권 선언('Universal Declaration of Human Rights)'라는 7가지 언어로 나타난다고 합니다.)
봇넷에 연결되어 있는 피어로부터 다른데이터를 받아와 기존 데이터들을 덮어씌움 (데이터 삭제)
HEH 봇넷은 다음과 같은 이유로 최근 등장하고 있는 멀웨어들 사이에서 나타나는 유행을 따르고 있으며, 아직 개발 단계에 있을 것이라고 합니다.
SSH를 표적으로 하고 있음
GO 프로그래밍 언어 사용
특히 GO 프로그래밍 사용은 이전 IoT 봇넷의 대표 주자였던 미라이를 비롯해 여러 멀웨어들이 C와 Perl, C++로 작성되었다는 것과 차별화 된다고 합니다. 올해만 해도 GO 언어로 만들어진 멀웨어가 자주 발견되고 있으며 SSH를 통해 구성되는 P2P 봇넷도 자주 등장하고 있다고 하네요😐
물론 GO 언어를 사용한다고 해서 방어 체계가 완전히 뒤집히는 것은 아니며, 기존 솔루션들로도 어느 정도 대처가 가능하다고 합니다. 그리고 현재까지는 HEH가 커다란 위협 요소는 아니라고 하지만 경계심을 늦춰서도 안된다고 합니다😀
2. 공공분야 전자서명 확대 도입을 위한 PASS 인증서 선정
정부가 추진 중인 '공공분야 전자서명 확대 도입을 위한 시범사업' 후보자로 통신3사와 핀테크 보안기업 ATON이 운영하는 패스 인증서가 1차 선정되었다고 합니다.😀
지난 5월에 개정된 전자서명법이 올 해 12월 10일 시행될 예정임에 따라 공인인증서 외 민간 전자서명 서비스를 공공웹사이트에 조기 도입하여, 변화를 체감할 수 있도록 추진되었다고 합니다. 이에 내년 1월부터 여러 정부 사이트 등에서 공인인증서 외에 PASS 인증서를 이용할 수 있을 것이라고 합니다.😀
민간 전문가로 구성된 평가 위원회에서 여러 주요 평가항목으로 심사를 진행했으며, 12월까지 관리적·물리적·보안수준 등을 확인하기 위한 현장점검을 진행하고 최종심사를 거쳐 내년 1월부터 공공웹사이트에 PASS 인증서를 적용한다고 합니다.
PASS 인증서는 통신사의 명의자 정보를 확인할 뿐만 아니라, USIM 정보까지 추가로 확인하여 보안성 측면에서 높은 평가를 받았으며, 실제 서명 행위자가 맞는지 검증하는 로직이 반영되어 있다고도 합니다.😁
3. 안티바이러스 제품 및 시스코 제품 취약점 주의, 최신 버전 업데이트 필수
안티바이러스 제품과 시스코 제품에서 취약점이 다수나왔으며, 최신 버전으로 업데이트 할 것을 권고하고 있습니다. 다음은 취약점 정보입니다.😁
안티바이러스 제품 취약점
Kaspersky(카스퍼스키) VPN Secure Connetion의 설치 엔진과 Virus Removal Tool 에서 발생하는 임의 파일 삭제 취약점(CVE-2020-25043, 25044)
Kaspersky Security Center와 Web Console의 설치 엔진에서 DLL 하이재킹으로 인해 발생하는 권한상승 취약점(CVE-2020-25045)
McAfee Endpoint Security for Windows에서 실행 파일에 대한 검증이 미흡하여 발생하는 권한상승 취약점(CVE-2020-7250)
McAfee Total Protection Trial의 설치 엔진에서 실행 파일에 대한 검증이 미흡하여 발생하는 권한 상승 취약점(CVE-2020-7310)
Symantec의 Norton Power Eraser에서 발생하는 권한상승 취약점(CVE-2019-19548)
Fortinet의 FortiClient for Windows online 설치 엔진에서 DLL 하이재킹으로 인해 발생하는 임의코드 실행 취약점(CVE-2020-9290)
Check Point의 Endpoint Security Client, Endpoint Security VPN에서 실행 파일에 대한 검증이 미흡하여 발생하는권한상승 취약점(CVE-2019-8452)
Trend Micro HouseCall for Home Network에서 DLL 하이재킹으로 인해 발생하는 권한상승 취약점(CVE-2019-14688, 19688, 19689)
MS Window Defender에서 임의경로에 있는 파일을 삭제할 수 있는 권한상승 취약점(CVE-2019-1161)
시스코 제품 취약점
Cisco Webex Teams client에서 DLL 하이재킹으로 인해 발생하는 임의코드 실행 취약점(CVE-2020-3535)
Cisco Identity Services Engine의 Web Interface에서 접근통제가 미흡하여 보안기능을 우회할 수 있는 취약점(CVE-2020-3467)
Cisco Video Surveillance 8000 Series IP Cameras에서 Cisco Discovery 프로토콜 패킷에 대한 검증 기능이 부재하여 발생하는 임의코드 실행 취약점(CVE-2020-3544)
취약점들은 최신 버전의 업데이트로 조치할 수 있으니 최선 버전 업데이트를 꼭 하시길 바랍니다.😁
마이크로소프트(MS)에서 여러 게시글과 트윗을 통해 이란 해커들의 공격에 대해 주의하라고 했습니다. 머디워터(MuddyWater) 또는 머큐리(Mercury)라고 불리는 단체이며, 제로로그온 취약점을 노린다고 하네요😀
제로로그온(CVE-2020-1472)은 넷로그온(Netlogon)에서 발견된 권한 상승 취약점으로서, 윈도우 클라이언트 인증 아키텍처(Windows Client Authentication Architecture)에서 활용되는 일종의 인증 메커니즘으로, 로그온 프로세스에 활용된다고 합니다.
제로로그온을 익스플로잇하는데 성공할 경우 네트워크 내에서 연결된 장비로 위장할 수 있게 됩니다. 그런 후 그 장비에서 처리된 것처럼 원격 프로시저 호출을 할 수도 있게 된다고 합니다.
제로로그온 공격의 전제조건은 "공격자가 표적이 되는 네트워크에 접속할 수 있는 것" 하나라고 합니다. 그래서 미국의 연방 정부 기관은 제로로그온 업데이트 적용 권고를 하였으며, 국토안보부 내 사이버 안보 담당 부서인 CISA에서 제로로그온 패치를 지시했다고 합니다.
오늘 MS에서 제로로그온을 익스플로잇 하려는 시도가 증가하기 시작해다고 발표했습니다. 그리고 다음과 같은 언급을 하기도 했답니다.😀
"한 공격자는 셰어포인트에서 발견된 CVE-2019-0604를 같이 익스플로잇 해서 웹셸을 심는 패턴을 보였습니다.
이를 통해 공격 지속성을 확보하고 코드를 실행하기도 했습니다."
- MS, 20.10.08 발표문
MS가 공격자를 추적한 결과 웹셸 설치 후 코발트 스트라이크를 기반으로 만들어진 페이로드를 배포하는 것을 발견할 수 있었다고 합니다. 이 페이로드를 가지고 네트워크의 외곽선을 탐구하고, 제로로그온 익스플로잇이 가능한 도메인 제어기들을 발견했다고 합니다.🙄
MS는 제로로그온 익스플로잇에 관한 추가 지표 정보를 공개하기도 했답니다. 또한 현재까지 발견된 익스플로잇 코드도 공유했다고 하네요.😀
2. 부산항만공사, 개인정보보호의 날 운영
부산항만공사(BPA)가 개인정보보호에 관심을 높이고 더 철저하게 보호 및 관리하기 위해 10월 6일을 '개인정보보호의 날'로 지정해 운영한다고 합니다.😀
최근 다양한 분야에서 개인정보 유출사고가 발생하면서 개인정보보호의 중요성이 날로 강조되고 있으며, 코로나 시대 비대면 업무가 늘어나면서 더욱 위험이 증가할 것이라는 전망에 실시했다고 합니다🎈
BPA는 다음과 같은 활동을 했다고 합니다.
개인정보보호를 강조하는 홍보물 사내 및 업무망에 게재
비대면 회의
임직원 참여 퀴즈 행사
등등
이번에 처음이지만 앞으로 지속해서 옌례행사로 관리하겠다고 합니다.😁
3. 맥 OS에 탑재된 보안 T2 칩에서 심각한 취약점 발견
맥 OS와 T2 보안 칩을 탑재한 애플 장비들이 취약하다는 주장이 나오고 있습니다. 취약점을 공략하게 된다면 애플 장비의 루트에 도달할 수 있다고 합니다. 애플에서는 아직 패치를 내놓지 않았으며, 일부 보안전문가들은 패치가 불가능하다는 지적이 나오고 있다고 합니다.🤨
이는 보안을 강화하기 위해 애플이 만든 칩의 2세대 제품인 T2칩이 원인이라고 합니다. 이 칩으로 Touch ID가 보호되며, 시큐어 부트 및 암호화 스토리지 기능이 제공됩니다. 2018 ~ 2020년 사이에 출시된 맥 전부 T2 칩을 탑재하고 있다고 합니다.
익스플로잇하기 위해선 장비에 물리적으로 접근할 수 있어야 한다고 합니다. 물론 장비에 접근하기는 어렵겠지만, 이런 조건이 성립되면서 공격자가 T2 익스플로잇에 성공하면 루트에 접근해 OS 조작하거나 임의의 커널 확장 프로그램 설치 등 다양한 공격이 가능하다고 합니다.😥
이 취약점을 발견한 니엘즈(Niels)라는 보안 전문가는 "애플에 여러 차례 연락을 취했지만 아무런 응답을 받을 수 없었으며, 애플을 다루는 뉴스 매체들에도 취약점 정보를 보냈지만 반응이 없었다"며 취약점 공개 이유에 대해 설명했다고 합니다.😨
T2 칩 보안 문제는 2가지 특징이 조합되어 발현되는 것이라고 합니다.
T2 칩은 A10 프로세서를 기반으로 하고 있다. 즉, 이전에 공개된 패치가 불가능한 버그인 부트롬(bootROM) 취약점의 영향권 아래 있다는 뜻이다.
지난 8월에 공개된 블랙버드(blackbird) 취약점이 있는데, 이는 시큐어 엔클레이브 프로세서(Secure Enclave Processor, SEP)를 공격하게 해주는 취약점으로, T2 칩의 보안 기능 일부를 우회할 수 있게 해준다.
니엘즈는 공격자가 물리적으로 접근하여 미리 제작한 악성 USB C 케이블을 꼽아 맥 OS 장비의 부팅 과정에 개입해 자동으로 익스플로잇할 수 있다고 말했으며, 익스플로잇에 성공하게 된다면 루트에 접근할 수 있고, 커널 실행 권한도 가질 수 있다고 언급했다고 합니다❗
다만 파이어폴트(FireVault2)를 이용해 디스크 암호화를 하고 있다면 공격자가 디스크에 바로 접근은 할 수 없다고 합니다. 그러나 T2 펌웨어에 키로거를 주입하면 비밀번호와 같은 민감한 정보를 가져가는게 가능하다고 합니다.
이에 니엘즈는 해당 취약점에 속하는 제품은 애플 컨피겨레이터를 사용하여 T2 칩에 브리지OS를 재설치하라고 권장했다고 합니다.😀
4. 프라이버시를 강조했던 유럽연합, 암호화 약화를 시도
이전에 있었던 FBI와 애플의 법정 공방으로 불거진 '암호화 기술 무력화' 시도가 유럽으로까지 옮겨갔다고 합니다. 프라이버시를 위해 암호화 기술을 비공개로 유지해야 한다와 테러 방지나 수사를 위해 정부 기관에게는 복호화 기술이나 백도어 제공해야 한다는 입장의 차이에서 나온 것이라고 합니다.😀
유럽연합은 시민들의 프라이버시를 지키기 위해 노력한 것처럼 보여왔는데, 지난 6월부터 '반 암호화(Anti-Encryption)' 규정을 만들기 위해 움직이기 시작했다고 합니다. 한 웨비나에서 "아동을 대상으로 한 성적 학대를 근절시키기 위해 기술적인 방안을 마련하는데 암호화 기술이 방해가 된다"고 언급했다고 합니다.
이후 외신인 폴리티코가 유출된 문서를 하나 공개했다고 합니다. 이는 암호화를 깨지 않고 암호화된 데이터에 정부 요원들의 접근을 가능하게 하는 것에 관한 내용을 담고 있었다고 하네요, 그 중 하나가 '클라이언트 스캐닝'이라는 것으로 전자프런티어재단(EFF)는 "백도어의 또 다른 이름"이라고 주장하고 있다고 합니다. 이는 중국 정부가 위책과 같은 플랫폼에서 공유되는 정치적 의견들을 모니터링할 때 쓰는 방법이라고 언급했다고 하네요.😮
또한 비영리 단체인 스테이트워치(Statewatch)는 '암호화를 통한 보안, 암호화를 극복한 보안(Security through Encryption and Security Despite Encryption)’이라는 문건을 공개했다고 합니다. 이는 암호화에 대한 유럽연합의 주장에 동의해달라는 촉구가 담겨 있다고 합니다. EFF는 "아무리 아동 범죄 근절을 위한 것이지만, 암호화를 약화시키는 것이 정치적으로 힘든 싸움일텐데 유럽연합이 뭔가를 단단히 준비하고 있는 듯 하다"라고 언급했다고 합니다.😕
더불어 EFF는 "수사 권력을 명목으로 한 암호화 약화의 움직임에도 여러 국가에 이어 유럽연합까지 가세하면서 본격적인 싸움이 시작된 듯하다", "앞으로 암호화 기술에 대한 백도어 요구하는 정부 기관의 목소리가 정상적이며 합법적이라는 결론이 내려지지 않도록 막아야 한다"고 주장했다고 합니다.😁
